如何判断文件是否含有病毒

分析一个文件是否为病毒有多种方法，比如用OD这样的调试器，用HIPS都可以达到目的。在这里主要讨论一下快速判断的方法，用最短的时间，最少的知识，来判断一个文件是否安全。

先说一下必要的工具：Sandboxie、PEiD、OD以及你的杀毒软件。

在网上随便下载一个软件，这时候杀毒软件也许会报毒。这种情况下，可以先看一下报的病毒名。

对于一个报毒名，通常会包含主类型，家族名以及变种号。

遇到下面这些以及其他有明确描述的主类型，一般误报的可能性很小。

Virus(感染型)
Worm(蠕虫)
Ransom(勒索)
Backdoor(后门)
Downloader(下载者)

如果报的是“Win32/Packed.VMProtect.AAA 特洛伊木马的变种”，那么可以稍稍放松下警惕。对于一些壳，杀软脱不了，为了方便，就把这种壳当作病毒来处理。另外，如果是“Win32/Hupigon.NUK 特洛伊木马”以及“Win32/Parite.B 病毒”这类的，就需要注意，这个文件可能被人恶意插入木马，或者被感染过。从杀软报的病毒名基本可以判断出这个文件是真的有问题，还是属于杀软的误报。然而，也有一些例外。比如“Trojan.Win32.Generic.122E105A”，这个一看就是云安全分析出来的病毒，没有什么有效的信息，所以无法通过病毒名判断是否是误判。

简单说说杀软是怎么判别的

基于特征的检测 — — 静态分析

杀毒软件的厂商都有自己的安全研究团队，负责研究新出现的恶意软件（病毒、木马、蠕虫、勒索软件 ……）。每当发现一款新的恶意软件，研究人员会尝试找到该软件所具有的独特指纹，并加入到杀毒软件的特征库中。
所谓的独特指纹就是说 — — 只有这个恶意软件才会包含该特征，其它软件不包含该特征。
当杀毒软件扫描磁盘时，就是根据自带的特征库进行检查，如果某个文件正好包含了特征库中“某某恶意软件”的特征，就会触发报警。
“基于特征的检测”有时候也被称作“静态分析”

基于行为的检测 — — 动态分析

“基于特征的检测”相当于“事后诸葛亮”。也就是说，先得有恶意软件，然后研究人员才能去研究它。
这种玩法的一个巨大缺陷是 — — 难以做到事先预防。因此，杀毒软件还会采用另一种措施来辅助 — — 也就是所谓的“行为分析”。
一般来说，恶意软件总是会有一些比较奇怪的（反常的）行为。因此，杀毒软件会根据某个软件的行为，来判断其是否具有恶意。
“基于行为的检测”有时候也被称作“动态分析”。

误报

所谓的误报就是 — — 杀毒软件把正常文件当成恶意软件。
为啥会有误报？比较常见的原因是在少数情况下，安全研究人员提取的特征指纹不够独特（不具有唯一性）。就会导致某个正常文件碰巧也带有该指纹所具有的特征。在这种情况下，当杀毒软件扫描这个正常文件，就会误报。

根据杀软的信息，可以对该文件的安全性有一个初步的了解。但是完全信任杀软的话会出现很多问题，想要使用有些未知安全性的软件，还是得靠自己。先用PEiD查一下壳

查壳

把可执行软件.exe拖入可查壳

然后可以在脱壳步骤中执行通用脱壳或者指定类型的壳专脱。

脱壳

1、PEiD最常用的插件就是脱壳，PEiD的插件里有个通用脱壳器，能脱大部分的壳，如果脱壳后import表损害，还可以自动调用ImportREC修复import表，点击”=>”打开插件列表，比如我们使用unpacker for upx插件进行脱壳。

默认的脱壳后的文件放置位置在peid的根目录下。

文件名为原文件名前加un字样。

如果是一些简单的压缩壳，就在沙盘中运行OD，脱掉，分析。这时要做的不是一步步跟下去，而是找一下这个文件调用的API。在反汇编窗口右击，查找——当前模块中的名称(标签)。

观察一下API，这时也是有所取舍的。对于字符函数和字符串处理函数这类的，可以忽略过去；对于注册表函数、文件函数则要多加留意。比如说，看到了CreateFile，就在这个函数上下断，注意看有没有对系统敏感位置写入文件。同样，查看字符串也是有效的方式。一般地，可以从字符串找出一些病毒的特征。比如有的灰鸽子会有“客户端安装成功”之类的字样，发现一些邮件地址以及相应密码的。这些都是很可疑的。遇到一些猛壳，脱掉它是很困难的，这时可以借助下沙盘。
让程序在沙盘里完全运行，之后终止所有程序。